1. Państwa członkowskie, organy nadzorcze, Europejska Rada
Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów
postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów
dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.
2. Zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres,
aby doprecyzować zastosowanie niniejszego rozporządzenia, między
innymi w odniesieniu do:
a) rzetelnego i przejrzystego przetwarzania;
b) prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach;
c) zbierania danych osobowych;
d) pseudonimizacji danych osobowych;
e) informowania opinii publicznej i osób, których dane dotyczą;
f) wykonywania przez osoby, których dane dotyczą, przysługujących im praw;
g) informowania i ochrony dzieci oraz sposobu pozyskiwania zgody
osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem;
h) środków i procedur, o których mowa w art. 24 i 25, oraz środków
zapewniających bezpieczeństwo przetwarzania, o których mowa
w art. 32;
i) zgłaszania organowi nadzorczemu naruszeń ochrony danych
osobowych oraz zawiadamiania o takich naruszeniach osób,
których dane dotyczą;
j) przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych; lub
k) postępowań pozasądowych oraz innych trybów rozstrzygania
sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez
uszczerbku dla praw osób, których dane dotyczą, na mocy art. 77
i 79.
3. Poza administratorami lub podmiotami przetwarzającymi,
którzy podlegają niniejszemu rozporządzeniu, kodeksów postępowania zatwierdzonych na mocy ust. 5 niniejszego artykułu i powszechnie obowiązujących zgodnie z ust. 9 niniejszego artykułu, mogą przestrzegać także administratorzy lub podmioty przetwarzające, którzy
zgodnie z art. 3 nie podlegają niniejszemu rozporządzeniu, w celu
zapewnienia odpowiednich zabezpieczeń w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych na warunkach określonych w art. 46 ust. 2 lit. e). Tacy
administratorzy lub takie podmioty przetwarzające podejmują wiążące i egzekwowalne zobowiązanie – w drodze umowy lub poprzez
inne prawnie wiążące instrumenty – do stosowania tych odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane
dotyczą.
4. Kodeks postępowania, o którym mowa w ust. 2 niniejszego
artykułu, przewiduje mechanizmy pozwalające podmiotowi, o którym mowa w art. 41 ust. 1, prowadzić obowiązkowe monitorowanie przestrzegania przepisów kodeksu przez administratorów lub
podmioty przetwarzające, którzy podjęli się jego stosowania, bez
uszczerbku dla zadań i uprawnień organów nadzorczych właściwych
na mocy art. 55 lub 56.
5. Zrzeszenia i inne podmioty, o których mowa w ust. 2 niniejszego artykułu, chcące opracować kodeks postępowania lub zmienić
lub rozszerzyć zakres kodeksu już obowiązującego przedkładają projekt kodeksu, zmiany lub rozszerzenia organowi nadzorczemu właściwemu na mocy art. 55. Organ nadzorczy wydaje opinię o zgodności
projektu kodeksu, zmiany lub rozszerzenia z niniejszym rozporządzeniem i zatwierdza taki projekt kodeksu, zmiany lub rozszerzenia, jeżeli uzna, że stanowią one odpowiednie zabezpieczenia.
6. W przypadku zatwierdzenia zgodnie z ust. 5 projektu kodeksu,
zmiany lub rozszerzenia, organ nadzorczy rejestruje i publikuje ten
kodeks, o ile nie dotyczy on czynności przetwarzania prowadzonych
w kilku państwach członkowskich.
7. Jeżeli projekt kodeksu postępowania dotyczy czynności przetwarzania prowadzonych w kilku państwach członkowskich, organ
nadzorczy właściwy na mocy art. 55 przed zatwierdzeniem projektu kodeksu, zmiany lub rozszerzenia przedkłada go zgodnie z procedurą, o której mowa w art. 63, Europejskiej Radzie Ochrony Danych,
która wydaje opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z niniejszym rozporządzeniem lub w sytuacji określonej
w ust. 3 niniejszego artykułu opinię o tym, czy stanowią one odpowiednie zabezpieczenia.
8. Jeżeli opinia, o której mowa w ust. 7, potwierdza, że projekt
kodeksu, zmiany lub rozszerzenia jest zgodny z niniejszym rozporządzeniem lub w sytuacji określonej w ust. 3 stanowią odpowiednie
zabezpieczenia, Europejska Rada Ochrony Danych przedkłada tę opinię Komisji.
9. Komisja może, w drodze aktów wykonawczych, stwierdzić, że
zatwierdzony kodeks postępowania, zmiana lub rozszerzenie przedłożone jej na mocy ust. 8 niniejszego artykułu są powszechnie obowiązujące w Unii. Te akty wykonawcze są przyjmowane zgodnie
z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.
10. Komisja zapewnia odpowiednie upowszechnianie zatwierdzonych kodeksów, których powszechne obowiązywanie stwierdziła zgodnie z ust. 9.
11. Europejska Rada Ochrony Danych gromadzi w rejestrze
wszystkie zatwierdzone kodeksy podstępowania, zmiany i rozszerzenia i udostępnia je opinii publicznej za pomocą odpowiednich środków.
Każdy czytelnik naszego biuletunu
otrzymuje pakiet 4 bezpłatnych
poradników i 4 mikroszkoleń RODO.
Biuletyn z nowościami z obszaru ochrony danych osobowych
i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812)
przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny
na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu
przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w
Polityce prywatności.
Potwierdź swój adres e-mail
Wysłaliśmy do Ciebie wiadomość.
Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu
poradników i szkoleń. Potwierdź swój adres e-mail klikając
w link, który znajdziesz w wiadomości od ODO 24.
Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w
przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij
prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość
pożądaną”).
